Как найти приложение в реестре

Обновлено: 07.01.2025

Методы поиска в реестре Windows

Использование классической утилиты regedit (Редактор реестра)
Regscanner
Registry Finder
Через текстовый редактор
Через PowerShell

Поиск по редактору реестра

Когда мне нужно было отключить защитник Windows 8.1, я на всякий случай проверяя нужное мне значение ключа в реестре, именно тогда поиск оказался мне очень кстати. Чтобы вам отыскать нужный ключ, вам необходимо нажать сочетание клавиш Win+R и ввести regedit.
В редакторе реестра для того, чтобы начать поиск вам необходимо либо в меню правки выбрать соответствующий пункт
или же нажать сочетание клавиш CTRL+F для открытия окна поиска, когда вы найдете первый результат и он вас не устроит вы можете продолжить поиск нажав клавишу F3.

У данного метода, как вы можете заметить огромный минус, вы не можете увидеть сразу все ключи по критерию, что не дает полной картины и во вторых данный процесс становится дольше по времени и я его использую, только тогда когда нет нужным мне утилит

Поиск в реестре Windows через regscanner

Regscanner - это удобная утилита входящая в состав пакета NirSof, мы например, с помощью него смотрели сохраненные пароли браузеров.

1. Для поиска по реестру откройте Regscanner.exe
2. В окне "Regystry San Options" вы можете выбрать: "Find String" - искомое значение и "Don't load more than" - количество выводимых строк (максимальное)
3. Задать временные промежутки, по умолчанию стоит значение "No time filter", означающее, что поиск будет идти по всем ключам созданным, но вы можете искать только в записях созданных не позднее n-го количества дней (Show only Registry keys modified in the last) или наоборот записи измененные за определенный период времени.
4. Далее у вас есть возможность явным образом задать разделы для поиска, например выбрав только HKEY_CURRENT_USER
5. Еще одним из фильтров, который можете ускорить поиск по реестру, это фильтрация по типу записи, для этого нужно выставить галку "Display only data with the following length range" и выбрав например только RED_DWORD
Нажимаем кнопку "Scan" и запускаем поиск. В итоге я получил сразу сводную таблицу со всеми значениями заданными при поиске.

Поиск в реестре Windows через Registry Finder

Registry Finder позволяет просматривать локальный реестр; создавать, удалять, переименовывать ключи и значения; изменить значения как естественный тип данных (строка, многострочный, DWORD) или как двоичные данные. Разрешено открывать несколько окон реестра. В следующий раз, когда вы запустите Registry Finder, эти окна будут открыты с теми же ключами, что и раньше.

Операция поиска эффективна и быстра. Все найденные предметы отображаются в отдельном окне в виде списка. Каждая строка представляет одно совпадение с критериями поиска. Значок показывает, где произошло совпадение: имя ключа, имя значения или данные значения. Совпадающий текст выделяется красным. Вы можете перейти к любому найденному элементу в окне реестра или редактировать/удалять элементы прямо в окне результатов поиска. Элементы в окне «Результаты поиска» можно сохранить в файл в формате .reg или .txt. В последнем случае элементы разделяются табулятором. Это позволяет легко импортировать и анализировать данные в других программах, таких как Microsoft Excel.
- Нажимаем значок лупы или нажимаем CTRL+F, чтобы вызвать окно поиска. В поле "Find what" пишем то, что хотим искать. В "Top-level-keys" выбираем разделы реестра для поиска.
- Нажав кнопку "Data Types" вы сможет выбрать нужный вам тип записей реестра, тем самым сузив фронт поиска.
- Registry Finder поддерживает поиск так называемых скрытых ключей реестра. Это ключи с нулевым символом в имени. Такие ключи не могут быть созданы, удалены, изменены или просмотрены стандартным Windows API, поэтому они не доступны для regedit и большинства других редакторов реестра. Чтобы включить поиск по ним. выставите галку "Search only hidden keys"
- Так же Registry Finder позволяет задать размер ключей и период последнего изменения. если вы точно уверены, что ключ был создан за этот промежуток времени.
- Обратите внимание, что результаты поиска вы можете открыть в новом оке. Все приступаем к сканированию реестра на нужную нам запись, нажимаем "Find".
На выходе я получил подробную таблицу со всеми искомыми значениями. Красным подсвечивается точное вхождение. Данная утилита меня выручала много раз, когда мне нужно было искать значение в разных местах, например, когда у меня был черный экран Windows 10.

Командная строка Registry Finder

Registry Finder имеет ряд параметров командной строки, которые можно использовать для настройки его поведения.

Четвертый метод поиска по реестру Windows

Представим себе ситуацию, что у вас под рукой не оказалось специальных программ по поиску, но нужно быстро получить общую картину, тут вы можете поступить таким образом. В открытом окне "Редактора реестра" щелкаем правым кликом по значку компьютера и выбираем экспорт

В типе файла задаем TXT и указываем имя файла, после чего нажимаем сохранить. Ждем пару минут, после чего получаем выгруженные все значения с путями в ваш текстовый файл.

Открываем текстовый файл любым редактором и спокойно используем поиск по нему, это луче чем стандартный поиск через редактор.

То же самое можно сделать и с помощью скрипта вот с таким содержимым:
@ECHO OFF
TITLE SEARCH REGEDIT
COLOR 0A
ECHO SEARCH.
chcp 1251 > nul
TIME /t > C:\Search_Reg.txt
ECHO HKLM >> C:\Search_Reg.txt
REG QUERY HKLM /f ping /s >> C:\Search_Reg.txt
TIME /t >> C:\Search_Reg.txt
ECHO HKCU >> C:\Search_Reg.txt
REG QUERY HKCU /f ping /s >> C:\Search_Reg.txt
TIME /t >> C:\Search_Reg.txt
ECHO HKCR >> C:\Search_Reg.txt
REG QUERY HKCR /f ping /s >> C:\Search_Reg.txt
TIME /t >> C:\Search_Reg.txt
ECHO HKU >> C:\Search_Reg.txt
REG QUERY HKU/f ping /s >> C:\Search_Reg.txt
TIME /t >> C:\Search_Reg.txt
ECHO HKCC >> C:\Search_Reg.txt
REG QUERY HKCC /f ping /s >> C:\Search_Reg.txt
TIME /t >> C:\Search_Reg.txt
В результате чего у вас на диске C:\Search_Reg.txt по которому вы так же легко осуществите поиск.

Поиск в реестре Windows через PowerShell

В PowerShell можно воспользоваться вот такой конструкцией:
Get - ChildItem - path HKLM : \ - Recurse | where < $_ . Name - match 'VMware' >| Out-File C:\scripts\regedit.txt

Популярные Похожие записи:

2 Responses to Поиск в реестре windows, лучшие методы

Иван, добрый день! Есть идея, как можно реализовать централизованный поиск значений в реестре во всех АРМ в домене? Только скрипт в групповых с выгрузкой в одну шару, или есть ещё что-то?

Я бы сделал скриптом PowerShell или же конвертировал его в EXE, повесил бы либо в автозагрузку пользователя или же задание в планировщике, тут все зависит от вашей задачи.

Часто возникает необходимость узнать, где та или иная программа (приложение) хранят свои настройки в реестре Windows. Бывает, что поиск по реестру не дает никаких результатов, или же программа хранит свои настройки не в одной какой-либо ветке реестра, а в нескольких и нужно их все найти, чтобы посмотреть/поменять настройки или сделать их резервную копию. В данной статье мы рассмотрим как это можно сделать.

Как узнать, где программа хранит свои настройки в реестре

После скачивания и распаковки архива можно обнаружить два exe файла: Procmon.exe и Procmon64.exe

После первого запуска, программа предложит нам принять условия лицензионного соглашения, поэтому не забываем нажать кнопочку "Agree"

Для примера посмотрим к каким разделам реестра обращается стандартный графический редактор Paint, который присутствует в ОС Windows. Для этого сначала запускаем Process Monitor, а после этого интересующее нас приложение, в данном примере графический редактор Paint. Далее, в диспетчере смотрим как именно называется исполняемый файл, в случае с Пейнтом, он называется mspaint.exe .

Чтобы отфильтровать все ненужные записи от любых других приложений, мы включим фильтр, в котором укажем, что хотим видеть только активность, которая вызвана процессом mspaint.exe , для этого мы выбираем пункт меню "Filter" и в нем опцию с одноименным названием "Filter. ".

После чего выбираем из раскрывающегося меню пункт "Process Name", вписываем имя нужного нам процесса mspaint.exe и жмем на кнопку "Add", чтобы наш фильтр добавился:

Теперь осталось применить фильтр, чтобы все посторонние записи не отображались. Для этого жмем на кнопку "Apply" и потом на "OK", для закрытия окна настроек.

В результате перед нами будет вся информация о том, к каким конкретно разделам и ключам реестра обращается mspaint.exe в процессе своей работы:

Теперь можно закрыть редактор Paint и посмотреть куда он записывает все свои настройки, после завершения работы. Они будут также отображаться в окне Process Monitor, достаточно просто воспользоваться скроллом. Таким не хитрым способом, можно мониторить любой процесс и точно знать как и где он хранит информацию.

Инструкция применима ко всем версиям Windows, начиная с Windows XP и заканчивая Windows 10.

Допустим, наша задача — скрыть запись об установленном архиваторе WinRAR. Открываем Панель управления, переходим в раздел Programs and Features (Программы и компоненты) и удостоверяемся, что запись WinRAR archiver присутствует в списке установленного ПО.

Для того, чтобы скрыть запись о программе потребуется внести небольшие изменения в реестр. Для этого:
Если необходимо использовать скрытие программы в рамках некого сценария или скрипта, можно воспользоваться такой командой:

REG ADD "HKLMSOFTWAREMicrosoftWindowsCurrentVersionUninstallWinRAR archiver" /v SystemComponent /t REG_DWORD /d 1 /f

Чтобы отключить режим скрытия для программы достаточно удалить параметр SystemComponent или произвести обратное переименование параметра DisplayName, убрав слово Quiet.

Alex1983

Drongo

Кирилл

Да,там, Drongo, верно говорит.

Вот небольшой скрипт получения списка программ:

Так же можно отфильтровать software разделы в hklm и hkcu

Дата установки программы в Windows

Дата установки программы в Windows

Методы получения даты установки программ
- Через программы и компоненты
- Через сторонние программы
- Через логи Windows
Программы и компоненты

Все ниже описанные действия, будут актуальны в любой версии Windows. Откройте "Панель управления > Программы и компоненты"

В открывшемся окне найдите нужную вам программу, в столбце "Установлено" вы увидите нужную вам дату, если щелкнуть по столбцу сверху, то у вас будет все отфильтровано по дате.

Через утилиту Ccleaner

Через просмотр событий

Все события происходящие в Windows, записываются в логи просмотра событий. Нажмите WIN+R и введите eventvwr.msc

В открывшемся окне "Просмотр событий" перейдите в пункт "Приложение"

В правой части, найдите пункт "Фильтр текущего журнала". В окне "Фильтровать текущий журнал", выберите источник событий Msinstaller.

В итоге вы получите список событий, по которому можете узнать кто и когда устанавливал программное обеспечение. В моем примере вы видите событие с кодом 11707, рассказывающее о установке Microsoft Visual C++ и видно, что его устанавливал пользователь sem.

Уверен, что данные методы по узнаванию даты установки программ и утилит вам пригодятся и вы сами сможете применить их на своей практике.

Популярные Похожие записи:

5 Responses to Дата установки программы в Windows

интересно,а как можно изменить дату установки программы? а то очень надо

Реестр Windows, все берется из него.

А где именно и как подскажи

Для каждой программы он свой, например у вас есть программа teamviwer, то заходите в реестр и ищите по нему данное слово.

1\AppData\Local\Temp\VCRedist\VCRedist_2012_x86_False\11.0.60610.1\Minimum\» ;Источник установки
«ModifyPath»=hex(2):4d,00,73,00,69,00,45,00,78,00,65,00,63,00,2e,00,65,00,78,
00,65,00,20,00,2f,00,58,00,7b,00,45,00,37,00,44,00,34,00,45,00,38,00,33,00,
34,00,2d,00,39,00,33,00,45,00,42,00,2d,00,33,00,35,00,31,00,46,00,2d,00,42,
00,38,00,46,00,42,00,2d,00,38,00,32,00,43,00,44,00,41,00,45,00,36,00,32,00,
33,00,30,00,30,00,33,00,7d,00,00,00
«NoModify»=dword:00000001
«Publisher»=»Microsoft Corporation»
«Readme»=»»
«Size»=»»

Недавно установленная операционная система на новый жесткий диск работает быстро и без ошибок. Но, со временем, после многочисленных установок и удалений программ, поиска информации в интернете работа системы становится медленнее. Это происходит из-за засорения системного реестра. Что такое реестр в компьютере и за что он отвечает?

База информации ОС Windows

Windows управляет процессами, происходящими при работе приложений и периферийных устройств компьютера. Для повышения оперативности ОС использует базу данных, хранящую актуальную информацию о настройках и конфигурации программного обеспечения и внешних устройств.

Окно редактора системной базы данных выглядит как проводник Windows. В левой части находятся разделы и ключи корневого уровня, а в правой — параметры и их значения.

Ключи содержат разделы и имеют собственное специфическое назначение в системной базе информации. У каждого раздела имеется набор параметров.

Значения параметров отображают информацию о настройках и некоторых пользовательских данных. Этой информацией пользуется операционная система и сторонние программы. Значения параметров представляются в виде текста, чисел или двоичного кода.

Корректируя параметры, можно вносить изменения в настройки приложений. А создание новых параметров определенного типа позволяет открыть новую возможность для работы программы или операционной системы.

Просмотр реестра в Windows

Для просмотра настроек или редактирования используется встроенный редактор Regedit. В меню «Пуск», в списке с приложениями его найти нельзя. Разработчики скрыли его потому, что изменения, внесенные в эту структуру случайно, могу привести к сбою в работе ПК.

Способы вызвать редактор (на примере виндовс 7):
1. В реестр виндовс 7, 8, 10 можно войти, вызвав утилиту для редактирования командой «Выполнить»: кликаем соответствующую строку в меню «Пуск», либо нажимаем сочетание клавиш WIN+R.
В Windows 8 строка поиска находится на экране с плиткой, справа сверху.

Как работать с реестром компьютера

Перед тем, как редактировать параметры и значения операционной системы, рекомендуется сохранить точку контрольного восстановления системы, то есть сделать резервную копию. В случае ошибочных действий будет возможность загрузить резервную копию и вернуться к значениям настроек и параметров крайней сохраненной контрольной точки.
1. Создание бэкапа (резервной копии):
- запускаем Regedit любым способом, описанным выше;
- в верху окна открываем пункт «Файл» и выбираем «Экспорт»;
- выбираем место сохранения резервной копии.
Файлы точек контрольного восстановления являются текстовыми и имеют разрешение .reg. Открываются они любой текстовой утилитой.

Есть возможность «бэкапить» и отдельные подразделы: вызываем на нужном подразделе выпадающее меню правой кнопкой мыши и выбираем пункт «Экспорт».

Есть вариант и без использования редактора: дважды нажать на файл резервной копии реестра.
1. Получение прав доступа для редактирования разделов.
Во избежание случайного редактирования или удаления жизненно важной для работы ОС информации, разработчики ограничили права доступа для некоторых разделов. В них хранятся настройки операционной системы. Чтобы редактировать информацию в этих разделах, необходимо переназначить владельца этих разделов и получить права доступа к ним.
- в Regedit нажимаем правой кнопкой мышки по нужному разделу, и в выпавшем контекстном меню выбираем строку «Разрешения»;
- в открывшемся диалоговом окне нажимаем кнопку «Дополнительно»;
- в следующем открывшемся окне переходим на вкладку «Владелец» и выбираем учетную запись, которой нужно дать права на редактирование раздела, затем нажимаем «Применить»;
- нажимаем на кнопку «Другие пользователи» и вводим учетную запись пользователя с помощью кнопки «Дополнительно» либо вручную;
Подключив жесткий диск с нерабочего ПК на рабочий, можно получить доступ к определенным веткам базы данных:
- в редакторе выбираем ветку и нажимаем меню «Файл» «Загрузить куст»;
- в открывшемся окне выбираем файл куста на жестком диске с неработающего компьютера и задаем ему имя;
Как очистить реестр Windows
1. Использование программ-утилит;
2. Очистка вручную.
После анализа в поле справа высветится список проблем. Среди них можно увидеть устаревшие разделы, некорректные правила, заданные приложениями, ошибки, неверные расширения файлов или отсутствующие DLL.

Очистка вручную дело тонкое и опасное. Без определенных знаний и опыта лучше не вносить изменения в систему вручную. Удаление или изменение важных параметров могут привести к отказу работы ОС. Перед очисткой системной базы данных вручную всегда делайте его резервную копию!

Ручная очистка проводится с помощью встроенного редактора Regedit. Как его запустить было описано выше.

И так, вначале делаем экспорт файла реестра для возможного восстановления конфигурации системы. Как его выполнить описано выше.

Во-первых, нужно найти и удалить всю информацию, связанную с уже удаленными программами. Она уже не нужна и только захламляет базу данных, замедляя работу компьютера. Для этого в левой части окна редактора нужно найти ветку HKEY_CURRENT_USER, а в ней подраздел Software. Здесь хранятся данные об установленных и когда-то удаленных приложениях. Нужно найти точно удаленные утилиты и удалить информацию о них.

После этого сочетанием клавиш Ctrl+F нужно вызвать строку поиску. В эту строку вводим название удаленной утилиты. Если в результатах поиска будут разделы, связанные с ней, их следует удалить.

Во-вторых, помимо остатков информации об удаленных программах, следует удалять некоторые из них из автозагрузки. Устанавливаемые приложения могут сами себя добавлять в список автозагрузки. Со временем их становится много, что замедляет функционирование компьютера. Не все из них будут отображаться в списке автозагрузки в меню «Пуск». Обнаружить их можно только через редактор Regedit.

Список утилит, автоматически запускаемых с началом работы операционной системы, находятся в ветках:

Зайдя в нужную ветку, справа нужно найти название программы, которую необходимо удалить из автозагрузки. Кликаем по ней правой кнопкой мыши и жмем «Удалить».

Читайте также: